Des chercheurs en sécurité ont livré des outils gratuits pouvant permettre de récupérer des fichiers chiffrés par Bart et PowerWare, deux ransomwares apparus ces derniers mois. Comparées à d’autres programmes malveillants, les capacités de chiffrement de ces deux ransomwares sont assez médiocres.

PowerWare, également connu sous le nom de PoshCoder, a été repéré pour la première fois en mars, date à laquelle il a été utilisé dans des attaques ciblant des services de soins de santé. Sa particularité est d’être implémenté dans Windows PowerShell, un environnement de script conçu pour l'automatisation des tâches d’administration du système et des applications. Récemment, les chercheurs de l’entreprise de sécurité Palo Alto Networks ont découvert une nouvelle version de PowerWare qui reprend les modalités d’attaque d’un autre programme sophistiqué et largement diffusé, appelé Locky. Cette version utilise l’extension .locky pour les fichiers chiffrés et affiche le même panneau de demande de rançon que le vrai ransomware Locky.

Un chiffrement AES-128 bits seulement

Ce n'est pas la première fois que les créateurs de PowerWare/PoshCoder copient les modalités d’attaques de ransomwares bien conçus. Ils essayent probablement de faire croire aux utilisateurs qu'ils devront impérativement payer la rançon exigée pour récupérer leurs fichiers. Par le passé, ils avaient déjà reproduit dans leurs programmes les demandes de rançon de CryptoWall et de TeslaCrypt. Heureusement, PowerWare est loin d'être aussi abouti que ces programmes dont il usurpe l'identité. Le ransomware utilise l'algorithme de chiffrement AES-128, mais avec une clé codée en dur, ce qui a permis aux chercheurs de Palo Alto de créer un outil de décryptage qui devrait fonctionner au moins pour cette dernière variante.

Cette semaine également, les chercheurs du vendeur de solutions antivirus AVG ont réussi à casser le code d’un autre ransomware appelé Bart, apparu en juin. Les modalités d'attaques de ce programme sont particulières : il verrouille les fichiers en les enfermant dans des archives ZIP protégées par un mot de passe au lieu d'utiliser des algorithmes de cryptage sophistiqués. Les infections par Bart sont faciles à identifier, car les fichiers concernés affichent l'extension .bart.zip en plus de l’extension originale. Par exemple un document.docx devient un document .docx.bart.zip. Le chiffrement de l’archive ZIP utilise un mot de passe long et complexe, mais les chercheurs d'AVG ont trouvé le moyen de deviner la clé en utilisant une méthode de décryptage par force brute.

Comparer des fichiers pour trouver la clef

Cependant, pour que leur outil fonctionne, il faut que l'utilisateur dispose au moins de la copie propre d'un des fichiers cryptés. Le programme compare la version originale du fichier avec la version archivée et protégée par mot de passe et tente ensuite de deviner le mot de passe. Mais il faut être patient : ce processus peut prendre plusieurs jours. Les utilisateurs devraient pouvoir trouver facilement une version intacte d'un fichier chiffré par Bart. Par exemple, un document ou une image reçue par courriel ou téléchargée sur Internet à partir d’une source connue. Ce peut être aussi un fichier audio par défaut ou l’un des fonds d'écran livrés avec Windows, qui peut être récupéré sur un ordinateur non infecté. 

Certes, on peut se réjouir que des chercheurs en sécurité trouvent des défauts dans les ransomwares et parviennent à créer des outils de décryptage gratuits, mais, en général, les auteurs de logiciels malveillants ne perdent pas de temps à corriger leurs erreurs. Un outil qui fonctionne avec la variante d’un ransomware particulier pourrait ne pas fonctionner pour la suivante. Il reste donc essentiel de prendre de bonnes mesures de prévention pour éviter l’infection de sa machine.